- Пропуск в сигурността на Kerberos предизвика незабавен отговор от Microsoft.
- Компанията инициализира поетапно внедряване за Server DC Hardening.
- Получаваме третата актуализация за сигурност Корекция във вторник на 11 април 2022 г.
Microsoft издаде още едно напомняне днес относно защитата на домейн контролера (DC) поради пропуск в сигурността на Kerberos.
Както сме сигурни, че си спомняте, през ноември, на втория вторник от месеца, Microsoft пусна своята актуализация Patch Tuesday.
Този за сървъри, който беше KB5019081, обърна внимание на уязвимост при повишаване на привилегиите на Windows Kerberos.
Този пропуск всъщност позволи на участниците в заплахата да променят подписите на сертификата за атрибут на привилегия (PAC), проследявани под ID CVE-2022-37967.
Тогава Microsoft препоръча внедряването на актуализацията на всички устройства с Windows, включително домейн контролери.
Пропускът в сигурността на Kerberos задейства защитата на Windows Server DC
За да помогне с внедряването, базираният в Редмънд технологичен гигант публикува насоки, споделяйки някои от най-важните аспекти.
Актуализациите на Windows от 8 ноември 2022 г. адресират уязвимостите за заобикаляне на сигурността и повишаване на привилегиите с подписи на сертификат за атрибут на привилегия (PAC).
Всъщност тази актуализация за защита адресира уязвимостите на Kerberos, при които нападател може да промени цифрово PAC подписите, повишавайки своите привилегии.
За да подпомогнете допълнително защитата на вашата среда, инсталирайте тази актуализация на Windows на всички устройства, включително домейн контролери на Windows.
Моля, имайте предвид, че Microsoft всъщност пусна тази актуализация поетапно, точно както спомена за първи път.
Първото разгръщане беше през ноември, второто беше малко повече от месец по-късно. Сега, бързо напред до днес, Microsoft публикува това напомняне, тъй като третата фаза на внедряване е почти тук, тъй като те ще бъдат пуснати в следващия месец Patch Tuesday на 11 април 2022 г.
Днес технологичният гигант напомня ни, че всяка фаза повишава минимума по подразбиране за промените в защитата на сигурността CVE-2022-37967 и вашата среда трябва да е съвместима, преди да инсталирате актуализации за всяка фаза на вашия домейн контролер.
Ако деактивирате добавянето на PAC подпис, като зададете KrbtgtFullPacSignature подключ на стойност 0, вече няма да можете да използвате това решение след инсталиране на актуализации, издадени на 11 април 2023 г.
Както приложенията, така и средата ще трябва поне да са съвместими с KrbtgtFullPacSignature задайте подключ на стойност 1, за да инсталирате тези актуализации на вашите домейн контролери.
Ако не използвате никакво решение за проблеми, свързани с CVE-2022-37967 засилване на сигурността, все пак може да се наложи да адресирате проблеми във вашата среда за следващите фази.
С това казано, моля, не забравяйте, че ние също споделихме наличната информация за DCOM втвърдяване за различни версии на Windows OS, включително сървъри.
Чувствайте се свободни да споделите всяка информация, която имате, или да зададете всеки въпрос, който искате да ни зададете, в специалния раздел за коментари, разположен по-долу.
